Parece mal configurado, estan genedando spam. Creo que con RBL bien
configurado y postgrey se solucion
------ Mensaje original------Desde: Salvador - Salman PSLFecha: lun, 4 may 2015
17:00Para: centos-es@centos.org;Asunto:Re: [CentOS-es] Ayuda con Servidor
Comprometido *::Para mi que tienes el servidor de correo muy mal
configurado. Tienes un exceso de informacion en el log, que no te deja ver
claro. Si tuvieses bien configurado todo, sabrias cual es el origen del
correo. Una cosa que no entiendo es que envies un correo de rechazo por un
HELO rechazado, estas comprobandolo despues de haber recibido el correo, y
eso tienes que comprobarlo antes de recibir todo el correo. Lo dicho, para
mi que ese Postfix, no esta bien configurado. * >>>>>>>>>>>>>> ******* Fin
del mensaje *******
<<<<<<<<<<<<<<------------------------------------------------------------------------SaludosSalvador
GuzmanSalman PSLVigo, Galicia, España +34 986.21.30.27 +34
679-725-626Salman.EU El 04/05/2015 a las 15:59, David González Romero
escribió:> Hola Lista!!>> Una vez mas el tema del SPAM me tienen en jaque
mate...>> Esta vez la verdad es que no tiene ni pies, ni cabezas. Es posible
que> tenga pueda ser una PC de mi red o que sea mi servidor, yo mi inclino> por
la segunda opción.>> La configuración de Postfix está lo más restricta posible
para> enviar-recibir. Pero lo cierto es que estoy teniendo cada fin de> semana
un problema serio con los SPAM ya que llego y tengo miles de> mail en cola que
no se despachan porque los servidores receptores no> permiten y me bloquean
como SPAM.>> Tengo también las herramientas para buscar rootkit en el server,
lo> mismo el Clamav que no encuentra virus. También configuré Fail2ban,> para
la mayoría de los servicios que tengo. Sin embargo viendo los log> de correo
hay algunas cosas raras.>> Les transfiero un parte del log que considero
extraño:>
---------------------------------------------------------------------------------------->
Amavis-new>> **Unmatched Entries**> INFO: truncating long header field
(len=1318): X-Envelope-To:> , , ,> , [196.46.245.153] ->>
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,<"çµåé®ç®±ï¼olivia.chen"@molcn.com.cn>,<"ç®±ï¼celian.huang"@m>
olcn.com.cn>,<"ç®±ï¼hr"@molcn.com.cn>,,,,,,,,,,,,,,,,,> Message-ID:
<20150502214852.043e95768...@mail.timbo.com.py>, mail_id:> dN-ces7fv0ZT, Hits:
40.253, queued_as: E0AE257688D7, 224 ms: 1 Time(s)> WARN: address modified
(recip):> <ä¼è®¡æåçµåé®ç®±ï¼ivy....@molcn.com.cn>> ->
<"ä¼è®¡æåçµåé®ç®±ï¼ivy.guo"@molcn.com.cn>:> 1 Time(s)> WARN:
address modified (recip):> <çµåé®ç®±ï¼celian.hu...@molcn.com.cn>> ->
<"çµåé®ç®±ï¼celian.huang"@molcn.com.cn>:> 1 Time(s)> WARN: address
modified (recip):> <ç®±ï¼h...@molcn.com.cn> ->> <"ç®±ï¼hr"@molcn.com.cn>: 1
Time(s)> INFO: truncating long header field (len=2242): X-Envelope-To:>
=?iso-8859-1?Q?=3C=22=E7=94=B5=E5=AD=90=E9=82=AE=E7=AE=B1=EF=BC=9Ahr=22?=>
=?iso-8859-(28518-11) Passed SPAM, [196.46.245.152] [196.46.245.152]> ->>
<"çµåé®ç®±ï¼hr"@51job.com>,,,,,,,,,,,,,,,,,,,,,,,,,,<"ç>
µåé®ç®±ï¼lee.liang"@molasia.com>,<"çµåé®ç®±ï¼celian.huang"@molcn.com.cn>,<"çµåé®ç®±ï¼catherine.huang"@molocb.com>,,,,,,,,,,,,,,,,,,,,,>
Message-ID: <20150502214849.4ad1b5768...@mail.timbo.com.py>, mail_id:>
XBbs+KM6FQwt, Hits: 40.253, queued_as: 0FD6857688D6, 218 ms: 1 Time(s)>
WARN: address modified (recip):> <çµåé®ç®±ï¼olivia.c...@molcn.com.cn>> ->
<"çµåé®ç®±ï¼olivia.chen"@molcn.com.cn>:> 1 Time(s)> WARN: address
modified (recip):> <çµåé®ç®±ï¼h...@51job.com>> ->
<"çµåé®ç®±ï¼hr"@51job.com>:> 1 Time(s)> WARN: address modified
(recip):> <çµåé®ç®±ï¼catherine.hu...@molocb.com>> ->
<"çµåé®ç®±ï¼catherine.huang"@molocb.com>:> 1 Time(s)> WARN: address
modified (recip):> <ç®±ï¼celian.hu...@molcn.com.cn> ->>
<"ç®±ï¼celian.huang"@molcn.com.cn>: 1 Time(s)> INFO: truncating long
header field (len=1254): X-Envelope-To:> , , ,> , [196.46.246.183] ->>
,,,,,,,,,,,,,,,,,,,,,,<"ä¼è®¡æåçµåé®ç®±ï¼ivy.guo"@molcn.com.cn>,,,,,,,
.com>,,,,,,,,,,,,,,,,,,,> Message-ID:
<20150502134124.2c1681ce0...@mail.timbo.com.py>, mail_id:> yQPSPzzglZ-5, Hits:
35.918, queued_as: 895771CE0358, 213 ms: 1 Time(s)> WARN: address modified
(recip):> <çµåé®ç®±ï¼lee.li...@molasia.com>> ->
<"çµåé®ç®±ï¼lee.liang"@molasia.com>:> 1 Time(s)>
---------------------------------------------------------------------------------------->
Postfix> (De estas lineas hay cientos iguales)> Unrecognized warning:>
TLS library problem: 13238:error:14077410:SSL>
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake> failure:s23_clnt.c:586:
: 1 Time(s)> TLS library problem: 13256:error:14077410:SSL>
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake> failure:s23_clnt.c:586:
: 1 Time(s)> TLS library problem: 13334:error:14077410:SSL>
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake> failure:s23_clnt.c:586:
: 1 Time(s)> .......> host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own
hostname> mail.timbo.com.py : 9 Time(s)> host
akerkvaener.com[127.0.0.4]:25 replied to HELO/EHLO with my> own hostname
mail.timbo.com.py : 1 Time(s)> host blackhole.superlink.net[127.0.0.3]:25
replied to HELO/EHLO> with my own hostname mail.timbo.com.py : 1 Time(s)>
host blackhole.theglobe.com[127.0.0.2]:25 replied to HELO/EHLO> with my own
hostname mail.timbo.com.py : 2 Time(s)> host fch.in[0.0.0.0]:25 replied
to HELO/EHLO with my own hostname> mail.timbo.com.py : 1 Time(s)> host
mail.airport.com[127.0.0.6]:25 replied to HELO/EHLO with my> own hostname
mail.timbo.com.py : 1 Time(s)> host
your-dns-needs-immediate-attention.sony[127.0.53.53]:25> replied to HELO/EHLO
with my own hostname mail.timbo.com.py : 1> Time(s)>
network_biopair_interop: error reading 5 bytes from the network:> Connection
reset by peer : 36 Time(s)> network_biopair_interop: error reading 7
bytes from the network:> Connection reset by peer : 6 Time(s)>
network_biopair_interop: error writing 37 bytes to the network:> Broken pipe :
4 Time(s)> network_biopair_interop: error writing 37 bytes to the
network:> Connection reset by peer : 5 Time(s)> no MX host for 265.com
has a valid address record : 1 Time(s)> no MX host for 3com.com has a
valid address record : 8 Time(s)> no MX host for aboutvoyeur.com has a
valid address record : 1 Time(s)> no MX host for accu-find.com has a
valid address record : 1 Time(s)> no MX host for amd.com.sg has a valid
address record : 1 Time(s)> no MX host for ap.altria.com has a valid
address record : 1 Time(s)> no MX host for apm-automotive.com.my has a
valid address record : 1 Time(s)> no MX host for arabianbemco.com has a
valid address record : 1 Time(s)> no MX host for arcsight.com has a valid
address record : 2 Time(s)> no MX host for arrow-dynamic.com has a valid
address record : 1 Time(s)> no MX host for asiabrandscorp.com has a valid
address record : 4 Time(s)> no MX host for asiapulppaper.com has a valid
address record : 1 Time(s)> no MX host for astral.ro has a valid address
record : 4 Time(s)> no MX host for banco.com.sv has a valid address
record : 1 Time(s)> no MX host for baoshan.sh.cn has a valid address
record : 1 Time(s)> .............> Aqui empieza la parte del SPAM:>> NOQUEUE:
reject: RCPT from> 118-161-241-219.dynamic.hinet.net[118.161.241.219]: 554
5.7.1> <201.217.51.105>: Helo command rejected: Access denied;> from= to=
proto=SMTP> helo=<201.217.51.105>> A5E641CE0188: to=,>
relay=gmail-smtp-in.l.google.com[74.125.21.26]:25, delay=8.1,>
delays=0.05/0.01/1.4/6.6, dsn=5.7.1, status=bounced (host>
gmail-smtp-in.l.google.com[74.125.21.26] said: 550-5.7.1> [201.217.51.105
12] Our system has detected that this message is> 550-5.7.1 likely unsolicited
mail. To reduce the amount of spam sent> to Gmail, 550-5.7.1 this message has
been blocked. Please visit> 550-5.7.1
http://support.google.com/mail/bin/answer.py?hl=en&answer=188131> for 550 5.7.1
more information. f67si4365709yho.125 - gsmtp (in reply> to end of DATA
command))> A5E641CE0188: sender non-delivery notification: BBD821CE018E>
09F8F1CE0171: reject: RCPT from unknown[41.138.175.226]: 554 5.1.2> : Recipient
address rejected: Domain not found;> from= to= proto=ESMTP> helo=>
0DD601CE0171: host gateway-f2.isp.att.net[207.115.11.16] refused to> talk to
me: 550-201.217.51.105 blocked by ldap:ou=rblmx,dc=att,dc=net> 550 Error -
Blocked for abuse. See http://att.net/blocks> E9A9A1CE0188: to=,>
relay=vip-us-br-mx.terra.com[208.84.244.133]:25, delay=1.3,>
delays=0.06/0.03/1/0.16, dsn=5.2.1, status=bounced (host>
vip-us-br-mx.terra.com[208.84.244.133] said: 550 5.2.1 Mailbox> disabled for
this recipient (in reply to RCPT TO command))> 0DD601CE0171: host
mx1.comcast.net[96.114.157.80] refused to talk to> me: 554
resimta-po-04v.sys.comcast.net comcast 201.217.51.105 Comcast> block for spam.
Please see> http://postmaster.comcast.net/smtp-error-codes.php#BL000000>>
---------------------------------------------------------------------------------------->
Y así como ese miles de líneas iguales.> Pero hice una búsqueda más exaustiva
en el log y veo esto en> diferentes momentos del log que tuve que seguir por le
ID del correo>> Apr 18 01:08:10 mail postfix/qmgr[23567]: CC59E1CE0171:> from=,
size=3120, nrcpt=1 (queue acti> ve)> Apr 18 01:08:15 mail postfix/qmgr[23567]:
75DCF1CE0188:> from=, size=3589, nrcpt=1 (queue active)> Apr 18 01:08:15 mail
postfix/smtpd[31026]: disconnect from> mail.timbo.com.py[127.0.0.1]> Apr 18
01:08:15 mail amavis[27844]: (27844-05) Passed SPAM,> [68.15.32.120]
[68.15.32.120] ->> , Message-ID:>
<20150418050809.cc59e1ce0...@mail.timbo.com.py>, mail_id:> 9bkgsnbCoNNP, Hits:
28.805, queued_as: 75DCF1CE0188, 5061 ms> Apr 18 01:08:15 mail
postfix/lmtp[31023]: CC59E1CE0171:> to=, relay=127.0.0.1[127.0.0.1]:10024,>
delay=5.9, delays=0.85/0.01/0/5.1, dsn=2.6.0, status=sent (250 2.6.0> Ok,
id=27844-05, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as>
75DCF1CE0188)> Apr 18 01:08:15 mail postfix/qmgr[23567]: CC59E1CE0171: removed>
Apr 18 01:08:16 mail postfix/smtp[31027]: certificate verification> failed for
mx-eu.mail.am0.yahoodns.net: num=20:unable to get local> issuer certificate>
Apr 18 01:08:16 mail postfix/smtp[31027]: certificate verification> failed for
mx-eu.mail.am0.yahoodns.net: num=27:certificate not trusted> Apr 18 01:08:19
mail postfix/smtp[31027]: 75DCF1CE0188:> to=,>
relay=mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25, delay=3.9,>
delays=0.04/0.01/1.9/1.9, dsn=2.0.0, status=sent (250 ok dirdel)> Apr 18
01:08:19 mail postfix/qmgr[23567]: 75DCF1CE0188: removed>> Como ven aquí es
donde mi problema entra.> El From: es claro que no es mio y el To: tampoco; sin
embargo pasa por> mi servidor como perro por su casa. Lo que me deja que pensar
en dos> posibles opciones:> 1- Una cuenta real del sistema está comprometida>
2- En el server hay un bot.>> La primera voy a resolver de a poco; quizá tengo
una pequeña sospecha.> Pero necesitaría ayuda para verificar la dos. Ya he
corrido rkhunter> varias veces y no me da problemas salvo que uso el puerto 465
para> SASL y tengo activo un rsync para sincronizar archivos compartidos con>
el NAS, pero es todo local. Entonces precisaría alguna idea de como> buscar
este posible bots o algun otro soft que esté haciendo de las> suyas.>> Existe
algun metodo de búsqueda más intensivo que no sea solo con rkhunter?>>
Saludos,> David> _______________________________________________> CentOS-es
mailing list> CentOS-es@centos.org>
http://lists.centos.org/mailman/listinfo/centos-es>_______________________________________________CentOS-es
mailing
listCentOS-es@centos.orghttp://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
